Gisle Aas Digest-MD5 UTF-8摘要计算存在漏洞

漏洞信息详情

Gisle Aas Digest-MD5 UTF-8摘要计算存在漏洞

• CNNVD编号：CNNVD-200207-115
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0703
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-05-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  gisle_aas
• 漏洞来源：
  bugzilla@redhat.c…

Digest-MD5是一款用于验证数据完整性的工具，可使用在多种Linux／Unix操作系统下。
Digest-MD5在对UTF-8编码的字符串计算时不正确，可导致产生不正确的MD5摘要信息。
UTF-8在perl-Digest-MD5和Perl之间交互中存在漏洞，可导致处理UTF-8编码的字符串产生不正确的MD5摘要，使使用Digest-MD5验证数据完整性的操作失败。
用户可以通过如下命令查看系统是否存在此问题：
perl -le \’\’use Digest：：MD5 qw/md5_hex/; $s = \”test＼x{101}\”; chop $s; print (md5_hex($s) eq md5_hex(\”test\”) ? \”ok\” ： \”not ok\”)\’\’
如果输出信息没有\”ok\”字样，需要升级。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。
厂商补丁：
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2002:081-06)以及相应补丁:

RHSA-2002:081-06：perl-Digest-MD5 UTF8 bug results in incorrect MD5 sums

链接：https://www.redhat.com/support/errata/RHSA-2002-081.html” target=”_blank”>https://www.redhat.com/support/errata/RHSA-2002-081.html

补丁下载：

Red Hat Linux 7.3:

SRPMS:

ftp://updates.redhat.com/7.3/en/os/SRPMS/perl-Digest-MD5-2.20-1.src.rpm

i386:

ftp://updates.redhat.com/7.3/en/os/i386/perl-Digest-MD5-2.20-1.i386.rpm

可使用下列命令安装补丁：

rpm -Fvh [文件名]
Gisle Aas
———
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Gisle Aas Upgrade Digest-MD5-2.20.tar.gz

http://www.cpan.org/authors/id/GAAS/Digest-MD5-2.20.tar.gz” target=”_blank”>
http://www.cpan.org/authors/id/GAAS/Digest-MD5-2.20.tar.gz

来源: BID
名称: 4716
链接:http://www.securityfocus.com/bid/4716

来源: MANDRAKE
名称: MDKSA-2002:035
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-035.php

来源: XF
名称: linux-utf8-incorrect-md5(9051)
链接:http://www.iss.net/security_center/static/9051.php

来源: REDHAT
名称: RHSA-2002:081
链接:http://rhn.redhat.com/errata/RHSA-2002-081.html